La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una alerta urgente el 4 de marzo de 2025, agregando tres vulnerabilidades críticas de VMware a su catálogo de vulnerabilidades explotadas conocidas (KEV) luego de una explotación en estado salvaje confirmada.
Las vulnerabilidades CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226 permiten a atacantes con acceso privilegiado a máquinas virtuales (VM) escalar privilegios, ejecutar código en hipervisores y filtrar datos confidenciales de la memoria.
Estas fallas, descubiertas por Microsoft Threat Intelligence Center (MSTIC), afectan a los productos VMware ESXi, Workstation, Fusion, Cloud Foundation y Telco Cloud Platform.
El aviso de CISA coincide con el lanzamiento de parches por parte de Broadcom, enfatizando la necesidad de que las agencias federales y las organizaciones privadas prioricen la remediación bajo la Directiva Operativa Vinculante (BOD).
Vulnerabilidades de VMware explotadas
Una falla crítica de TOCTOU permite la adquisición del hipervisor (CVE-2025-22224)
CVE-2025-22224, el más grave del trío con una puntuación CVSS de 9,3, es una condición de carrera de tiempo de verificación de tiempo de uso (TOCTOU) en VMware ESXi y Workstation.
Los atacantes con privilegios administrativos en una VM pueden aprovechar esta vulnerabilidad de desbordamiento del montón para ejecutar código arbitrario dentro del proceso VMX: el componente del hipervisor que administra las operaciones de la VM.
La explotación exitosa otorga control sobre el sistema host, lo que permite el movimiento lateral a través de infraestructuras virtualizadas.
Escape de Sandbox mediante escritura arbitraria (CVE-2025-22225)
CVE-2025-22225 (CVSS 8.2) permite a atacantes autenticados escribir datos arbitrarios en hosts ESXi a través del proceso VMX, lo que facilita los escapes del sandbox. Al manipular la memoria del kernel, los adversarios obtienen privilegios elevados para implementar malware o interrumpir servicios.
Esta falla es particularmente peligrosa en entornos de nube multiinquilino, donde una sola máquina virtual comprometida podría poner en peligro clústeres enteros.
Hypervisor Memory Leakage (CVE-2025-22226)
The third vulnerability, CVE-2025-22226 (CVSS 7.1), stems from an out-of-bounds read in VMware’s Host Guest File System (HGFS).
Attackers leveraging this flaw can extract sensitive data from the VMX process, including encryption keys or credentials stored in hypervisor memory. While less severe than the others, it provides critical reconnaissance data for orchestrating further attacks.
Broadcom released fixes for all affected products, including:
- ESXi 8.0/7.0: Patches ESXi80U3d-24585383 and ESXi70U3s-24585291
- Workstation 17.x: Version 17.6.3 addresses CVE-2025-22224/22226
- Fusion 13.x: Update 13.6.3 resolves CVE-2025-22226
Las organizaciones que utilizan VMware Cloud Foundation o Telco Cloud Platform deben aplicar parches asincrónicos o actualizar a versiones fijas de ESXi.
- Parches inmediatos: priorice las actualizaciones para ESXi, Workstation y Fusion.
- Supervise la actividad de la máquina virtual: detecte patrones inusuales de escalada de privilegios o acceso a la memoria.
- Aproveche los marcos BOD 22-01: alinee los flujos de trabajo de remediación con los cronogramas KEV de CISA.
Dado que la explotación ya se ha observado, la aplicación de parches retrasados corre el riesgo de sufrir infracciones a gran escala similares a los incidentes de vCenter Server de 2024. Dado que la virtualización sustenta la infraestructura crítica, la defensa proactiva es fundamental para frustrar a los adversarios de los Estados-nación que buscan un acceso persistente.
